Die Stimme und das Bild der Teilnehmenden von Video- oder Telefonkonferenzen gehören genauso wie ihre Namen, Mailadressen und die in der Konferenz besprochenen Inhalte zu schützenswerten Daten. Auch in Krisenzeiten muss die Verarbeitung dieser Daten den geltenden Gesetzen und Sicherheitsvorgaben entsprechen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit als zuständige Datenschutz-Aufsichtsbehörde der HTW Berlin hat am 3. Juli 2020 Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten veröffentlicht. Mit Hilfe eines Ampelsystems wird darin dargelegt, dass einige verbreitet eingesetzte Dienste nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen. Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen an der HTW Berlin notbedingt kurzfristig eingesetzt wurden, müssen daher so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Mindestanforderungen entsprechen. Vor diesem Hintergrund sprechen sich die Informationssicherheitsbeauftragten der HTW Berlin gegen den Einsatz von Diensten aus:

• bei denen die Diensteanbieter die bei den Videokonferenzen anfallenden Daten für eigene Zwecke verarbeiten, die über die Bereitstellung der Konferenzplattform hinausgehen,
• bei denen die Daten in einem Drittland außerhalb der EU (z.B. USA) verarbeitet werden und
• deren Anbieter_innen keine rechtskonformen Auftragsverarbeitungsverträge anbieten.

Wenn Sie Lizenzen für einen Videokonferenzdienst eigenständig erworben haben und diesen im Hochschulbetrieb verwenden - etwa für die Kommunikation mit Studierenden oder Kolleg_innen - ist dies keine "private Nutzung" im Sinne des Datenschutzrechts. Nur weil Sie einen etwaigen Zugang privat lizensiert haben, agieren Sie in Lehre oder Verwaltung nicht privat, sondern im dienstlichen Kontext. Sie tragen somit die Verantwortung für die Verarbeitung der Daten in dem von Ihnen genutzten Tool.

Wenn Sie das Tool oder den Dienst eines externen Anbieters im Hochschulbetrieb verwenden, spricht man von einer so genannten „Auftragsverarbeitung“. Das Tool bzw. der Dienst empfängt von Ihnen Daten und verarbeitet diese in Ihrem Auftrag weiter. Es besteht zwischen Ihnen und dem Dienstanbieter daher ein Rechtsverhältnis, das in einem so genannten Auftragsverarbeitungsvertrag (AVV) geregelt werden muss. Die Verantwortung für die Datenverarbeitung durch den Dienstanbieter wird grundsätzlich Ihnen als Verfahrensverantwortliche_n zugerechnet. Die zentrale Vorschrift für Auftragsverarbeitungen in der DSGVO ist Art. 28. Im Bundesdatenschutzgesetz (BDSG) finden sich in §§ 62, 63 nähere Hinweise.

Die Aufsichtsbehörde der HTW Berlin hat explizit darauf hingewiesen, dass nur Auftragsverarbeiter (also Tools oder Dienste) eingesetzt werden dürfen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Bei der Prüfung von Verantwortlichen beabsichtigt die Aufsichtsbehörde, auf diesen Aspekt besonderes Augenmerk zu legen. Das heißt, Sie als Verantwortliche_r müssen vor einem Einsatz des Dienstes nachweisen können (Art. 5 Abs. 2 DSGVO), dass diese Anforderungen erfüllt sind. Werden Sie von der Aufsichtsbehörde geprüft (z.B. in Folge einer Beschwerde), sind Sie in der Nachweispflicht.

Bei einigen verbreitet eingesetzten Diensten ist der Ort der Datenverarbeitung nicht auf die EU bzw. den EWR beschränkt, da diese oftmals von Unternehmen in den USA angeboten werden und die Daten auf Servern in den USA verarbeitet werden. Die DSGVO sieht besondere Anforderungen für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR (sogenanntes „Drittland“) vor etwa ein angemessenes Schutzniveau im Drittstaat, geeignete Garantien oder ähnliches.

Das Risiko beim Einsatz von solchen Diensten besteht darin, dass die Daten, für die Sie verantwortlich sind, ihre Einflusssphäre verlassen und nicht mehr Ihrer Verfügungsgewalt unterliegen. Sie sind dadurch nicht mehr in der Lage zum Beispiel die datenschutzkonforme Verarbeitung der Daten zu kontrollieren, zu entscheiden, welche Subunternehmer in welchen Ländern eingesetzt werden, die Löschung von Daten zu veranlassen usw. Und das, obwohl sie dazu per Gesetz verpflichtet sind.

Da Sie für die Datenverarbeitung verantwortlich sind, sollten Sie also stets darauf achten, dass die Daten im Hoheitsbereich und unter der Verfügungsgewalt der HTW Berlin verbleiben. Wenn Sie externe Dienstleister (Tools, Software etc.) mit der Verarbeitung von Daten beauftragen, sollten Sie darauf achten, dass die Daten innerhalb der EU verarbeitet werden, und dass Sie wasserdichte Auftragsverarbeitungsverträge abschließen können, um Ihre gesetzlichen Rechte und Pflichten ausüben zu können.

Übermittlungen von personenbezogenen Daten in Länder außerhalb des EWR sind nur dann zulässig, wenn diese sogenannten "Drittländer" ein Datenschutzniveau aufweisen, das gleichwertig mit den europäischen Grundrechten ist. Der europäische Gerichtshof (EuGH) als höchstes europäisches Gericht erklärte in seiner Entscheidung vom 16. Juli 2020, dass dies in den USA weitgehend nicht der Fall ist. Der EuGH erklärte das „EU-US Privacy Shield“ für ungültig und stellte fest, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürgerinnen und Bürger haben, da in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen. Daraus folgt, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürfen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Der EuGH betonte ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten, und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen - dazu zählt auch die HTW Berlin - auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln. Die Berliner Datenschutzbeauftragte sagt hierzu in einer Presseerklärung:

"Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen. Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen."